Ruim tweeduizend Belgische organisaties hebben mogelijks een nieuw lek in hun Microsoft-mailserver nog niet gedicht. Dat meldt de Belgische cybersecurityspecialist Secutec, die samen met het Belgische CERT (Cyber Emergency Response Team) potentiële slachtoffers van het huidige lek in kaart brengt. Via een nieuwe techniek kan Secutec monitoren of er gegevens worden verzonden tussen de IP-adressen van gekende hackers en van de in totaal 2178 Belgische bedrijven die de mailserver gebruiken.
Securityanalisten van Secutec brengen sinds de nacht van donderdag op vrijdag alle potentieel gevaarlijke verbindingen in kaart rapporteren ze aan de Europese overheden waarmee Secutec samenwerkt.
Het Zero Day Initiative heeft vorige donderdag een nieuwe een zogenaamde zero-day kwetsbaarheid in de Exchange-mailserver van Microsoft gevonden en gemeld aan het softwarehuis. Zero-day aanvallen gebruiken tot dusver ongekende beveiligingslekken. Ze kunnen cybercriminelen toegang geven tot het volledige netwerk van een bedrijf of organisatie.
Microsoft Exchange wordt ook in België door duizenden organisaties gebruikt om het e-mailverkeer van medewerkers in goede banen te leiden. Sinds de Vietnamese cybersecurityspecialist GTSC vorige woensdag een blog heeft gepubliceerd over de nieuwe kwetsbaarheid, proberen hackers massaal via het lek binnen te dringen in de systemen van organisaties. Vier uur na de bekendmaking van het lek scanden reeds twaalf IP-adressen in de wereld naar potentiële slachtoffers met de kwetsbaarheid. Achtenveertig uur later scanden ruim honderd adressen continu naar het zero-day lek.
“Tot vrijdag 30 september hebben we ruim 300.000 verbindingen waargenomen tussen hackers en Belgische IP-adressen”, zegt Geert Baudewijns van de Belgische cybersecurityspecialist Secutec. “In de eerste 24 uur na de bekendmaking van deze zero-day kwetsbaarheid hebben we bij vier Belgische bedrijven uiterst verdacht verkeer vastgesteld. We merken dat Duitse en Oostenrijkse bedrijven meer onder vuur liggen. De cyberbeveiliging staat er minder ver dan in ons land.”
Microsoft heeft een workaround gecommuniceerd
Volgens Secutec hebben alle grote bedrijven in België al zeer consequent hun infrastructuur aangepast in de loop van vrijdag en zaterdag. Er is nog geen patch voorhanden, maar Microsoft kwam wel een workaround die ervoor zorgt dat hackers geen aanvallen kunnen uitvoeren op de kwetsbare Exchange-server. “Onze grote zorg gaat uit naar de meer dan 1000 kleinere bedrijven die de workaround nog niet toepasten”, zegt Baudewijns. “We verwachten in deze doelgroep een gevoelige stijging van ransomwaregevallen, omdat kleinere organisaties bijna geen gebruik maken van multifactorauthenticatie en ook hun wachtwoorden onvoldoende vernieuwen.”
Secutec stelt op het darknet vast dat hackers en ransomware-organisaties reeds massaal actief gestolen wachtwoorden aankopen. Om via de kwetsbaarheid binnen te dringen, moet de hacker op de Exchange-server van het slachtoffer aangemeld zijn als een gewone user